Microsoft dDOSar W3C

Microsoft släppte igår en out-of-band-uppdatering för Windows' XML-parser (MSXML).

Orsaken? Jo, om man tittar i början av en HTML-fil hittar man typiskt nånting i stil med:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

Det här ska uttydas "det här dokumentet är formatterat enligt XHTML-standarden, vars exakta definition (DTD) går att hitta på den här adressen hos W3C". En XML-parser som vill tolka dokumentet kan alltså ladda ner DTD:n för att ta reda på exakt hur tolkningen ska gå till.

Men i praktiken brukar program som ska hantera XHTML naturligtvis inte ladda ner XHTML-definitionen om och om igen för varje dokument som ska tolkas; det är ju en välkänd dokumenttyp som programmet redan har inbyggd kunskap om hur den ska hanteras.

Fast, uhm, MSXML har tydligen gjort just det. Laddat ner XHTML-DTD:n om och om och om igen. Från världens alla Windowsdatorer. W3Cs stackars webserver har tydligen inte alls tyckt om det. Från Microsofts supportartikel för gårdagens uppdatering:

Consider the following scenario:

• You run an application on a computer that is running one of the following operating systems:
  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
• The application uses Microsoft XML Core Services (MSXML) to process XHTML files.
• The application generates many requests when it tries to retrieve well known Document Type Definition (DTD) files from a World Wide Web Consortium (W3C) Web server.
• These redundant retrieval requests cause the W3C server to block the DTD requests.

In this scenario, XHTML parsing fails.

Det här är en klockren dDOS-attack på W3C. Det skulle kunna betraktas som lite pinsamt för Microsoft, tycker jag. Inte minst eftersom precis samma sak hände för snart tre år sedan, när DTD-filen för RSS-flöden plötsligt inte längre var tillgänglig.

Ka-boom!

I det ursprungliga tidsschemat räknade man med att det skulle ta tretton dagar från starten av LHC-acceleratorn till de första partikelkollisionerna. Jag vet inte om det är åldern, men det känns som om tiden går fort numera - redan igår rapporterade CERN att man lyckats åstadkomma de första (potentiella) kollisionerna.

DN rapporterar lite halvhjärtat och väljer tyvärr att mest prata om foliemössorna.

Och om du är avundsjuk och också vill vara med, så kan du vika dig en egen ATLAS-detektor av papper.

Back on track

Partikelstråle 1 gjorde just två varv genom LHC; we're back in business.

De första kollisionerna planeras ske om ett par veckor, men redan nu har man fått sensordata genom att med flit styra in strålen i en kollimator "uppströms" från detektorn, vilket ger en skur av sekundärpartiklar. Alldeles färsk visualisering av rådata från ATLAS:

What the...?

Att det ska utredas huruvida SITIC ska flyttas från Post- och telestyrelsen till Myndigheten för samhällsskydd och beredskap visste jag sedan tidigare - det vore en utmärkt idé, inte minst för att MSB faktiskt har föreskriftsrätt inom området - men hur i hela fridens namn kan man komma på tanken att FRA skulle kunna vara en alternativ hemvist för SITIC? IT-säkerhetsfolket på FRA är duktigt, men det här vore inte en lämplig uppgift för dem.

Jisses. Det slår vågor av revirpissningsstank ända hit.

Jag - en digital brandman

Eftersom jag just nu jobbar med att etablera en gemensam CERT-funktion för de svenska superdatorcentrumen är det roligt att se att DN har intervjuat den nye föreståndaren för ENISA, Udo Helmbrecht.

Men det blev en väldigt lustig rubrik på artikeln:

"Digital brandkår" sätts in mot spam

Akronymen "CERT" står för "Computer Emergency Response Team", så det är lätt att se hur man snubblar in på brandkårer när man översätter, men... det blev kanske inte så lyckat.

Hm, undrar om jag ska montera in en sån där brandmansstång från övervåningen.

Polycom - insecure by default

As you may or may not know, all computers connected to the Internet are under constant attack. Our systems see up to a hundred thousand malicious login attempts each day. Usually these are just probing for weak passwords; trying to log in as user "bob" with password "bob", and so on.

For some time, I have been seeing attempts to log in as the user "PlcmSpIp". This username is not something I immediately recognize, and I have been filing the attacks as targeting some unknown third party software product. Today, out of idle curiosity, I made the effort to actually google it.

It turns out that these attacks are related to the Soundpoint range of IP telephones from Polycom.

When a Soundpoint phone boots, it tries to download a settings file from a server. Exactly how this download is performed can be configured using very flexible mechanisms (see the section "Supported provisioning protocols" in the Soundpoint administration manual). The local administrator can rather easily create a setup where the phones download their settings in a secure manner.

The default configuration, however, is less than secure. Because by default, the phone expects the DHCP server to send a server name as DHCP option 66. The phone proceeds to log in to this server, using clear-text FTP, as the user "PlcmSpIp" with password "PlcmSpIp", and then retrieve its settings file.

Convenient? Yes. Secure? Well, perhaps not so much.

So, we have a situation where the local administrator can choose between a convenient default configuration, or spending some time and effort to create a secure configuration of his own.

It should not come as a great surprise that the Internet is full of configuration guides that instruct people that want to support Polycom phones to simply create a user account called "PlcmSpIp" with the password "PlcmSpIp".

My favourite among these guides comes from the Canadian company Objectworld, who in the configuration manual for their product "UC Server 4.2" state:

However, Polycom's PlcmSpIp password does not meet the default password complexity policy for domain controllers [...]

No shit? So, what do they propose to do about it?

To create the domain account user "PlcmSpIp" the default password policy must be temporarily modified.

You know, sometimes I get this urge to just hurt somebody.

So, we get all these servers with "PlcmSpIp" users with password "PlcmSpIp". Of course, many of these machines will be reachable from the Internet, and many of them will be running ssh servers. No wonder I've been seeing those attacks; this is a minor goldmine for the bad guys.

Thank you, Polycom. Thank you, Objectworld. Thanks a lot.

Mullberga millar

Den fiktive Leif Waldemark, rektor på den likaledes fiktiva Mullbergaskolan, har något överraskande fått en debattartikel publicerad på Newsmill.

Nu ser vi fram mot vidare debattinlägg från Alexandra Gyllenbåge-Kaprifol och hr grundrektor Ludvig Hagwald.

[Uppdaterat: artikeln är nu borta från Newsmill. Men rolig var den.]